Makro-Bedrohungen und Ransomware bestimmen die E-Mailangriffe

Originalbeitrag von Maydalene Salvador, Antispam Research Engineer

E-Mail ist ein gutes Geschäft – für Cyberkriminelle. 2014 wurden täglich 196,3 Milliarden Mails verschickt, davon 108,7 Milliarden geschäftliche. Bei dieser Riesenmenge ist es nicht vorstellbar, dass Cyberkriminelle es versäumen, Profit daraus zu schlagen. Unternehmen können aus diesen Angriffen hohe Verluste entstehen, so kostete etwa Home Depot ein Einbruch 62 Millionen Dollar und Target verlor sogar 229 Millionen Dollar. Doch sind nicht nur Unternehmen über E-Mail angreifbar. Die Sicherheitsforscher von Trend Micro stellten in der ersten Jahreshälfte fest, dass die Bedrohungen über E-Mail keinen Unterschied in der Auswahl ihrer Opfer kennen.

Die ersten sechs Monate 2015 waren durch zwei Trends in der Spam-Landschaft bestimmt: der stetige Anstieg von Makro-basierter Schadsoftware im Spam und Ransomware-Angriffe, die über Spam verbreitet wurden.

Aus alt mach neu

Das Monitoring der Sicherheitsforscher ergab einen erheblichen Anstieg von Makro-basierten Bedrohungen in Spam-Nachrichten. Die Nachrichten hatten Anhänge mit Office-Datei Extensions wie .DOC, .DOCM, .XLS und .XLSM. Bild 1 zeigt den unterschiedlichen Malware-bezogenen Spam. Während UPATRE (in rot) der häufigste Malware Spam ist, zeigt Makro-Spam (in grün) einen stetigen Anstieg.


Bild 1. Makro Spam nahm während der letzten Monate stetig zu (Quelle: Honeypot-Daten)

Zudem gab es E-Mails, die PDF-Anhänge umfassten, die aber in .DOC-Dateien eingebettet waren. Die .DOC-Dateien umfassten das Makro, das bei Ausführung die bösartige .EXE-Datei herunterlädt.


Bild 2. Sample einer .PDF-Datei

Nicht alle Spam-Nachrichten mit Bezug auf Ransomware hatten Anhänge. Einige umfassten Links, die auf legitime Datei-Hosting-Sites wie Dropbox zeigten, wo die bösartige Datei gehostet wurde.


Bild 3. Sample einer Spam-Nachricht mit einem Dropbox-Link

Spammer entschieden sich möglicherweise für die Nutzung von Makros, weil sie jahrelang nicht im Blickpunkt standen. Daher war die Gefahr, die davon ausgeht, den Spam-Empfängern nicht mehr gegenwärtig. So stand Spammern ein deutlich breiteres Spektrum an potenziellen Opfern zur Verfügung.

Spam ist auch weiterhin eine sehr weit verbreitete Methode, um Ransomware an nichts ahnende Empfänger auszuliefern. Vor allem zwei Ransomware-Familien machten im ersten Halbjahr von sich reden: Cryptowall 3.0 und TorrentLocker.

Die bösartigen Spam-Kampagnen kombinierten Dateiverschlüsselung mit Informationsdiebstahl. Mehrere Spam-Nachrichten enthielten ZIP-Dateien, in denen eine .JS- oder .HTML-Datei lag, die Cryptowall und FAREIT Malware auf den Computer herunterlud. FAREIT ist dafür bekannt, Zugangsdaten aus FTP-Clients, Webbrowsern, E-Mail-Clients und sogar Bitcoin Wallets zu stehlen.

TorrentLocker hingegen tauchte in regionalen Angriffen auf Länder wie Australien, Neuseeland und bestimmte Teile Europas auf. Zu den häufig eingesetzten Social Engineering-Ködern in diesen Angriffen gehören Rechnungen (etwa solche für Bolletta und Fatura) und Lieferstatusbenachrichtigungen.

Auch wenn spezifische Arten von Angriffen in der ersten Jahreshälfte zugenommen haben, so zeigte sich dennoch ein erheblicher Rückgang im Spam-Aufkommen. Im März gab es das bislang höchste Spam-Volumen des Jahres.


Bild 4. Spam-Volumen insgesamt für 1H 2015 (Quelle:Source: Honeypot-Daten

Es gibt mehrere Faktoren, die das gestiegene Aufkommen der ersten drei Monate des Jahres erklären. Die Sicherheitsforscher beobachteten wiederkehrende Spam-Ausbrüche mit Themen wie Partnersuche, Pornografie oder Jobangebote, die im zweiten Quartal wieder rückläufig waren. Wahrscheinlich konzentrierten sich die Spammer auf wieder andere Spam-Angriffstypen.

Zwei Trends wurden auch im zweiten Quartal weitergeführt. Dies waren Malware-bezogener Spam mit gezippten Anhängen mit der heruntergeladenen Malware UPATRE und der Makro-basierten Malware BARTALEX. Auch gab es Spam mit Links zu neu erstellten Domänen (häufig nur ein paar Tage vor den Angriffen). Diese Nachrichten enthielten oft Wortsalat und unsichtbare Tinte, um Filter zu umgehen.

Upatre (noch immer) Top

UPATRE bleibt auch weiterhin die am häufigsten über Spam verbreitete Schadsoftware. Im letzten Jahr war dank der Schließung von Gameover ein Rückgang bei UPATRE-basierten Kampagnen zu verzeichnen. Doch aufgrund des CUTWAIL-Botnets wurden die Aktivitäten bald wieder aufgenommen. CUTWAIL gibt es seit 2007, und es war 2009 das größte Spam-Botnet. Auch wenn UPATRE heute „alt“ ist, so hat die Schadsoftware dennoch ein paar Tricks drauf. Es gibt eine verbesserte Version, die Sicherheitsfunktionen abschalten kann, sodass sie nicht entdeckt wird. Auch ist eine neue Variante vorhanden, die als Microsoft-kompilierte HTM-Datei (.CHM) abgelegt wird. Durch die Nutzung der Datei-Extension weckt die Datei keinen Argwohn, denn dies ist die Extension der Hilfedateien von MS.

PLUGX und EMDIVI, Top Spearphishing Payloads

Auch für gezielte Angriffe ist E-Mail ein weitverbreiteter Vektor. 74% der zielgerichteten Angriffsversuche nutzen Mail als Eintrittspunkt für die Infiltration.

In der ersten Jahreshälfte nutzten Spearphishing Mails eine Vielzahl an Social Engineering-Ködern wie etwa Seminarankündigungen, Stellenangebote und Personalangelegenheiten. Es fiel auf, dass die am häufigsten genutzten Payloads PLUGX und EMDIVI waren. PLUGX ist ein Remote Access Tool (RAT), das in gezielten Angriffen auf Regierungsbehörden und Schlüsselindustrien eingesetzt wird. EMDIVI tauchte 2014 auf und wird hauptsächlich in gezielten Angriffen auf japanische Unternehmen genutzt.

Spam im zweiten Halbjahr

Natürlich ist es schwierig vorauszusagen, welche Schritte Spammer als nächstes tun. Doch aufgrund der Beobachtungen können die Sicherheitsforscher dennoch einige Voraussagen wagen:

  • Makro-basierte Malware wird weiter zunehmen, möglicherweise mit neuen Techniken wie die Nutzung von neuen Datei-Extensions und Payloads.
  • Cryptowall-Spam könnte sich leicht verändern. Angreifer werden nicht nur das „Resume“-Template verwenden sondern auch andere.
  • Spammer werden normale Template-Arten für ihre Angriffe einsetzen, um Antispam-Filter zu umgehen. Sie werden Benachrichtigungen aus sozialen Netzwerken, Banking-Nachrichten oder Lieferstatusbenachrichtigungen wie die von DHL oder Fedex umfassen.
  • Einiges wird auch gleich bleiben. Spammer werden auch weiterhin Festtage und andere Events nutzen, um ihre Opfer zu ködern.
  • UPATRE wird die meistverbreitete Malware bleiben, weil sie durch ihre kleine Dateigröße einfach an Mails anzuhängen ist und/oder von URLs heruntergeladen werden kann. UPATRE lässt sich auch modifizieren, um Sicherheitsfilter zu umgehen. Das zeigte sich auch bereits im ersten Halbjahr.

Doch unabhängig von den nächsten Schritten der Spammer müssen Unternehmen Sicherheitslösungen einführen, die E-Mail-Bedrohungen erkennen und blocken können. Deep Discovery Email Inspector etwa kann E-Mails erkennen und blockieren, die auf Datendiebstahl ausgerichtet sind. Er nutzt fortschrittliche Malware Detection Engines, URL-Analyse und Datei- sowie Web-Sandboxing, um diese Mails zu erkennen und zu blocken beziehungsweise in Quarantäne zu setzen.

Unternehmen können auch Trend Micro™ Smart Protection Complete Suites einsetzen, die mehrfache Sicherheitsschichten einführt: Endpunkte, Anwendungen und Netzwerk. Für kleine Unternehmen eignet sich Trend Micro™ Worry-Free Business Security als Schutzlösung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*